Soluções IoT seguras desde seu design, criadas em torno do cumprimento das normas globais de cibersegurança.
Os dispositivos conectados enfrentam naturalmente desafios de cibersegurança que exigem medidas de proteção robustas. Na Robustel, a segurança é integrada no hardware, firmware e serviços na nuvem, desde o design até as operações. Este Centro de Segurança descreve nossas normas, testes e práticas de atualização: desenvolvimento seguro desde o design, comunicações criptografadas, autenticação robusta, configurações reforçadas e gestão de frotas através do RCMS. Nosso programa está alinhado com as normas CRA, NIS2, ISO/IEC 27001 e IEC 62443. Realizamos testes contínuos de segurança, conduzimos um processo coordenado de divulgação de vulnerabilidades e oferecemos atualizações oportunas de firmware e software. O resultado é uma garantia em nível empresarial na qual você pode confiar em grande escala. Explore os recursos, o estado atual da certificação e os canais de notificação abaixo.
Elementos essenciais
-
O processo de desenvolvimento seguro certificado (IEC 62443-4-1) rege a forma como projetamos, fabricamos e testamos os produtos.
-
Testes independentes periódicos de penetração cobrem o RobustOS, RobustOS Pro e RCMS; os resumos executivos estão disponíveis mediante acordo de confidencialidade.
-
O RCMS é executado no Microsoft Azure com controles documentados para identidade, proteção de dados e operações; há um pacote de testes disponível mediante solicitação.
-
Aprovado para setores onde é importante, por exemplo, com a certificação IEC 61162-460 para redes de pontes marítimas.
-
Gestão clara de vulnerabilidades: recebimento e avaliação CVSS, correções, avisos públicos (com CVE quando aplicável) e uma cadência previsível de atualizações.
Em resumo, a Robustel é um fornecedor que pode auditar, uma plataforma em que você pode confiar e a ferramenta adequada para suas equipes de risco e conformidade.
Normas globais de segurança com as quais a Robustel se alinha:
Normas internacionais
ISO/IEC 27001
Sistema de gestão da segurança da informação (SGSI)
Um quadro baseado em risco para gerenciar a segurança da informação entre pessoas, processos e tecnologia.
IEC 62443-4-1
Requisitos seguros para o ciclo de vida do desenvolvimento de produtos
Processos para design, implementação, testes, lançamento e manutenção segura de produtos industriais.
Normas europeias
CRA da UE
Lei de Resiliência Cibernética
Segurança desde o design, gestão de vulnerabilidades e obrigações de atualização do ciclo de vida para produtos com elementos digitais.
NIS2
Diretiva sobre segurança das redes e da informação 2
Expectativas maiores em cibersegurança e cadeia de fornecimento para entidades essenciais/importantes; apoio dos fornecedores para a gestão de riscos.
EN 18031
Requisitos comuns de segurança para equipamentos de rádio (Partes 1-3)
Normas de cibersegurança da RED que abrangem dispositivos conectados à Internet, privacidade e fraude.
EUCC
Sistema de certificação de cibersegurança da UE (baseado em critérios comuns)
Certificação da UE derivada dos Critérios Comuns com níveis de garantia definidos.
Notificação e resposta a vulnerabilidades
Política de divulgação de vulnerabilidades (VDP)
A Robustel está comprometida com a segurança e a resiliência de nossos produtos e serviços. Nossa Política de divulgação de vulnerabilidades (VDP) convida pesquisadores, clientes e parceiros a reportar de forma responsável quaisquer problemas para que possamos mitigar rapidamente o risco. A política detalhada a seguir explica como reportar uma possível vulnerabilidade e como respondemos.
Âmbito de aplicação
Este VDP cobre todos os produtos, firmware e serviços Robustel lançados oficialmente, bem como aplicações web hospedadas em nossos domínios oficiais. Não cobre serviços de terceiros fora de nosso controle, tentativas de engenharia social contra nosso pessoal, parceiros ou clientes, nem ataques físicos à propriedade ou instalações.
Reportar uma vulnerabilidade
Se você descobrir um possível problema de segurança, utilize nosso formulário de relatório de segurança. Inclua o nome e a versão do produto ou serviço, uma descrição clara do problema e, se possível, uma prova de conceito ou os passos para reproduzi-lo. Evite compartilhar dados reais de clientes; recomenda-se enviar registros e capturas de tela editados.
Nossos compromissos
Confirmaremos o recebimento do seu relato em até 7 dias corridos e nossa equipe de segurança investigará e validará o problema. No caso de vulnerabilidades críticas confirmadas, nosso objetivo é corrigi-las ou mitigá-las em até 90 dias, ou fornecer medidas provisórias de proteção quando a solução completa requerer mais tempo. Manteremos você informado sobre o status sempre que possível e, com seu consentimento, daremos crédito no aviso público quando o problema for divulgado.
Divulgação voluntária e compensação
Todos os relatos de vulnerabilidades enviados no âmbito deste VDP são fornecidos de forma voluntária e sem expectativa de pagamento, compensação ou reembolso. Ao enviar um relatório, você concorda em não solicitar ou reivindicar qualquer tipo de compensação ou recompensa relacionada à divulgação, investigação, reparo ou publicação do problema, a menos que a Robustel tenha aceitado explicitamente tal compensação por escrito e antecipadamente.
href=”https://support.robustel.com/portal/en/newticket”>Informar sobre uma vulnerabilidade
Processo de resposta às vulnerabilidades da Robustel
PASSO 1
Relatório
Envie as vulnerabilidades por e-mail ou por meio do formulário. Confirmaremos o recebimento em até 7 dias e atribuiremos um ID.
Passo 2
Validação e avaliação
Descreva brevemente o evento cronológico fornecendo ao seu público todos os detalhes que precisam saber a respeito.
Passo 3
Solução e mitigação
Desenvolver patches ou diretrizes de configuração. Problemas críticos resolvidos ou mitigados em até 90 dias.
Passo 4
Orientação e atualização
Publicar avisos com identificadores CVE, downloads de patches e informações sobre validação de hash.
passo 5
Acompanhamento e assistência
Manter os avisos atualizados, fornecer suporte técnico e orientação para a instalação.
Passo 6
Colaboração e compromisso
Agradeça aos pesquisadores, proteja a divulgação responsável, garanta a transparência e o cumprimento da CRA.
Ver relatórios de vulnerabilidade
Como realizamos os testes para que você possa implementar com confiança?
A segurança na periferia é importante demais para deixá-la ao acaso. Nesta seção é mostrado, passo a passo, como a Robustel testa os produtos antes de chegarem à sua rede, transformando os requisitos e os modelos de ameaças em testes reais, validando as correções e demonstrando os resultados com testes de penetração independentes e avisos claros. O resultado para você: menos surpresas no campo, aprovações mais rápidas com TI e conformidade regulatória, e uma plataforma na qual pode confiar em grande escala.
1. Testes de requisitos de segurança
Antes de qualquer lançamento, verificamos se a segurança está projetada, implementada e é estável sob uma carga de trabalho real. As equipes testam as funções básicas de segurança, desempenho e escala, condições de limite, entradas malformadas e limites de confiança para que os controles funcionem sob estresse, não apenas em laboratório.
2. Validação do modelo de ameaças
Convertendo o modelo de ameaças em ação. Para cada ameaça identificada, testamos se a mitigação funciona conforme o previsto e, em seguida, tentamos derrotá-la com as mesmas técnicas que um atacante usaria.
3. Detecção de vulnerabilidades
Procuramos pontos fracos como fazem os atacantes. O fuzzing automatizado e manual, o abuso de protocolos e cenários de alta carga examinam todas as interfaces externas, enquanto a revisão da superfície de ataque detecta ACLs fracas, portas expostas e serviços que rodam com privilégios desnecessários.
4. Testes de penetração independentes
Uma equipe externa realiza testes de caixa preta periodicamente e em marcos do projeto, permitindo tempo para corrigir e retestar. Os resultados são priorizados, mitigados e verificados antes da publicação ampla.
5. Emissão de documentação e avaliação
Cada incidente confirmado é registrado com hora, localização, alcance e passos para reproduzi-lo de forma confiável. Analisamos a causa raiz e o impacto para os usuários, atribuímos um nível de severidade e priorizamos a solução para que os riscos mais importantes sejam abordados primeiro.
6. Remediação e verificação
As correções são feitas seguindo um plano e cronograma. As mudanças no código passam por revisão de segurança, o departamento de controle de qualidade valida sua eficácia e executamos novamente os testes de segurança relevantes para garantir que o problema foi resolvido sem introduzir novos.
7. Lançamento e divulgação responsável
Escolhemos a via de lançamento adequada: normal, provisória ou emergencial. As notas de segurança e as diretrizes de implementação são atualizadas e, quando cabível, publicamos avisos com medidas de mitigação e prazos. A supervisão pós-lançamento confirma a estabilidade em campo.
8. Melhoria contínua
Aprendemos com os padrões. As tendências nas descobertas moldam os requisitos futuros, os métodos de teste e o treinamento. Os modelos de ameaça são atualizados à medida que as características evoluem, para que o design de segurança permaneça alinhado com o produto.